■[セキュリティ]mixiのみょうなXSS対策:クソほど眠い - ikepyonのお気楽な日々〜技術ネタ風味〜(情報元のブックマーク数)
id:ockeghemのコメントで全てが解決しているようだがwwwwMixiのサニタイズ(笑)
文字参照をユーザが入力できる *仕様* のために起こっているようです。
クソほど眠い - ikepyonのお気楽な日々〜技術ネタ風味〜
入力に、&xxxx;という形式があり、実体参照や文字数値参照の形式として適合していれば、それを文字の形にアンエスケープします。適合していなければそのままです(変換1)。
その上で、HTML表示時に、HTMLエスケープします(変換2)が、&はエスケープ対象になっていないようです。その結果、
> → > → <
& → & → &
&aaa; → & → &
< → < → <
" → " → "
& → & → &
& → & → &
&amp; → & → &
となります。変換2では、&もエスケープ対象にすべきでしょうね。